Introduzione
Che cos'è l'HECVAT? Anche se può sembrare una parole impronunciabile, HECVAT è in realtà un acronimo americano correlato alla sicurezza delle informazioni nell'istruzione superiore.
Più di 150 università pubbliche e private in tutto il paese, tra cui Carnegie Mellon, Princeton e Rice, utilizzano l’HECVAT come metodo per valutare il rischio del fornitore.
Ma l’HECVAT è molto più di quanto possiamo riassumere in un singolo paragrafo, ecco perché abbiamo creato questo articolo dettagliato. Continua a leggere per saperne di più sull'HECVAT e sui suoi strumenti di valutazione nelle sezioni seguenti.
Che cos'è l'HECVAT?
HECVAT sta per Higher Education Community Vendor Assessment Toolkit. L'Higher Education Information Security Council (HEISC) lo ha creato in collaborazione con il consorzio di reti di computer Internet2 e l'alleanza per la sicurezza informatica REN-ISAC.
L'HECVAT è una suite di strumenti progettati per aiutare gli istituti di istruzione superiore a misurare il rischio dei fornitori per quanto riguarda la sicurezza delle informazioni. Nell'ambito del processo di valutazione dei fornitori, i college e le università possono chiedere ai fornitori di completare uno dei numerosi questionari HECVAT per affermare che sono in atto politiche di sicurezza informatica e informazioni sufficienti per proteggere le informazioni sensibili delle istituzioni e informazioni di identificazione personale (PII) di studenti, personale e altre parti interessate.
Informazioni sui collaboratori di HECVAT
I questionari HECVAT sono strumenti di valutazione affidabili perché tre team di esperti in reti e sicurezza li hanno sviluppati in modo cooperativo:
- HEISC. Fondato nel 2000, HEISC è un team di professionisti della sicurezza e della privacy delle informazioni dedicato ad aiutare gli istituti di istruzione superiore a migliorare la governance della sicurezza delle informazioni, la conformità e la protezione dei dati.
- Internet2 . Formalmente intitolato University Corporation for Advanced Internet Development (UCAID), Internet2 è un consorzio senza scopo di lucro che comprende istituti di istruzione superiore e di ricerca, enti governativi, aziende e organizzazioni culturali. Il suo scopo è fornire una “rete sicura ad alta velocità, soluzioni cloud, supporto alla ricerca e servizi su misura per la ricerca e l’istruzione”.
- REN-ISAC. Il Centro di condivisione e analisi delle informazioni delle reti di ricerca e istruzione è un'alleanza internazionale che fornisce notizie e avvisi sulla sicurezza informatica, insieme all'analisi delle minacce alla sicurezza informatica e alle soluzioni di mitigazione. L'alleanza conta oltre 700 istituzioni membri.
Perché l’HECVAT è importante?
Secondo un sondaggio del 2022 condotto dalla società di sicurezza informatica Sophos, il 64% degli istituti di istruzione superiore ha subito almeno un attacco ransomware nel 2021, in aumento dal 44% nel 2020. Uno sconcertante 74% di questi attacchi ha avuto successo. Confrontate questo tasso di successo con la media globale del 65%.
Gli attacchi ransomware hanno un impatto materiale sulle organizzazioni, in particolare quelle del settore dell’istruzione superiore. L'indagine Sophos rileva che quasi tutti (97%) gli intervistati del settore pubblico hanno affermato che un attacco ha influito sulla loro capacità di operare, mentre il 96% degli intervistati del settore privato ha affermato che un attacco ha causato una perdita economica.
Perché queste istituzioni rappresentano un obiettivo così attraente per i cybercriminali? Considera questi fattori:
- Hanno tonnellate di dati. I college conservano una grande quantità di dati personali su studenti e docenti, per non parlare dei dati di ricerca di agenzie governative e partner accademici.
- Le loro reti sono più suscettibili agli attacchi. Le università più grandi e consolidate tendono a mantenere sistemi legacy che spesso presentano più vulnerabilità rispetto ai sistemi moderni. Inoltre, i numerosi dispositivi e software personali e universitari che si collegano a questi sistemi presentano molte opportunità di attacchi, soprattutto se le persone che li utilizzano danno priorità alla comodità rispetto alla sicurezza.
- Hanno budget limitati. Sia le istituzioni pubbliche che quelle private spesso hanno budget limitati; tendono anche ad allocare risorse finanziarie a dipartimenti più visibili e commerciabili – come l’atletica – rispetto all’IT e alla sicurezza informatica.
Con tendenze così preoccupanti in materia di sicurezza informatica e i fattori target di cui sopra, non c’è da meravigliarsi perché un metodo di sicurezza come HECVAT sia necessario nell’istruzione superiore. Questo toolkit consente alle università di risparmiare tempo, standardizzare la valutazione del rischio dei fornitori e garantire che tali fornitori siano adeguatamente valutati nelle aree di sicurezza e privacy.
4 Strumenti HECVAT
La suite di strumenti HECVAT comprende quattro questionari che consentono agli istituti di istruzione superiore di adottare, implementare e mantenere un programma coerente di valutazione del rischio e della sicurezza. Ogni questionario rappresenta un diverso livello di rigore e uno è in realtà destinato ad uso interno.
Nota: tutte le versioni attuali di questi strumenti sono disponibili come file Excel scaricabili nella classe pagina web EDUCAUSE HECVAT.
1. HECVAT — Triage
A differenza degli strumenti Completo, Lite e On-Premise che imparerai di seguito, lo strumento Triage non è pensato per essere completato dai fornitori: questo è un malinteso comune di coloro che non hanno familiarità con HECVAT. Invece, questo strumento è pensato per i “richiedenti” interni, come dipartimenti e singoli docenti che desiderano condividere dati istituzionali con un fornitore di terze parti o una soluzione software.
Attraverso questo strumento, il richiedente documenta e riassume l'intento, l'ambito, gli elementi e i requisiti tecnologici di condivisione dei dati attraverso circa 35 domande in sei categorie come caso d'uso, appalti e tecnologia dell'istituto. Il completamento del questionario è un prerequisito affinché l'IT possa avviare una valutazione del rischio e della sicurezza e utilizzare gli altri strumenti per valutare i fornitori.
Ecco alcune domande di esempio:
- Fornisci un riepilogo generale del tuo dipartimento e dell'area di business che ospiterà i dati dell'istituto, utilizzando il software/servizio di terze parti e/o richiedendo l'integrazione con i sistemi aziendali di un istituto.
- Ti sei consultato con i professionisti degli appalti dell’istituzione in merito a questa richiesta di valutazione?
- Descrivere le responsabilità IT dell'istituzione a supporto di questo software/servizio di terze parti, applicazione dipartimentale o integrazione con un sistema aziendale.
2. HECVAT — Full
Progettato per valutare gli impegni di condivisione dei dati più critici, lo strumento completo chiede ai fornitori risposte a oltre 250 domande sulle loro pratiche in oltre 20 categorie, come HIPAA, scansione delle vulnerabilità, documentazione e ripristino di emergenza.
Ecco alcune domande di esempio per lo strumento completo:
- I membri della tua forza lavoro ricevono una formazione regolare relativa alle norme sulla privacy e sicurezza HIPAA e alla legge HITECH?
- I vostri sistemi e le vostre applicazioni sono stati sottoposti a una valutazione della sicurezza di terze parti nell'ultimo anno?
- Sei stato sottoposto a un audit SSAE 18/SOC 2?
- La tua organizzazione dispone di un sito di ripristino di emergenza o di un fornitore di ripristino di emergenza a contratto?
3. HECVAT — Lite
Questa versione ridotta dello strumento completo viene utilizzata per accelerare il processo di valutazione del fornitore, affrontando al tempo stesso i principali problemi di sicurezza. I fornitori completano lo strumento Lite, che comprende circa 100 domande in 12 categorie, come accessibilità IT, gestione dei sistemi, data center e gestione degli incidenti. Categorie come HIPAA e scansione delle vulnerabilità, incluse nello strumento completo, non fanno parte di questo strumento.
Ecco alcune domande di esempio dello strumento Lite:
- Un esperto di terze parti ha condotto un controllo di accessibilità della versione più recente del tuo prodotto?
- L’istituto verrà informato di importanti cambiamenti nel tuo ambiente che potrebbero avere un impatto sulla posizione di sicurezza dell’istituto?
- La tua azienda gestisce il data center fisico in cui risiederanno i dati dell’istituzione?
- Hai la capacità di rispondere agli incidenti 24 ore su 24, 7 giorni su 7, 365 giorni all'anno?
4. HECVAT — On-Premise
Come gli strumenti Full e Lite, i fornitori completano lo strumento On-Premise, che valuta il rischio. Il questionario è tuttavia più breve di quelli degli altri strumenti ed è adattato alle soluzioni on-premise. Lo strumento include 70 domande in 10 categorie, come database, policy e firewall.
Ecco alcune domande di esempio dallo strumento On-Premise:
- Il database supporta la crittografia degli elementi di dati specificati nell'archivio?
- I principi di sicurezza delle informazioni sono integrati nel ciclo di vita del prodotto?
- Utilizzi il rilevamento delle intrusioni basato su host?
Risorse HECVAT aggiuntive
HECVAT offre altre due risorse per gli istituti di istruzione superiore oltre ai questionari:
- Community Broker Index (CBI). Il CBI fornisce un elenco costantemente aggiornato di fornitori disposti a condividere le valutazioni HECVAT completate. Gli istituti di istruzione superiore possono fare riferimento a questo elenco per risparmiare tempo nella determinazione delle soluzioni dei fornitori adatte al rischio.
- Gruppo comunità utenti. Questo gruppo fornisce agli istituti di istruzione superiore un forum per condividere informazioni, migliori pratiche e strategie per l'utilizzo dell'HECVAT.
Come puoi utilizzare uno strumento di raccolta dati compatibile con HECVAT nel tuo campus?
Jotform Enterprise è uno strumento di raccolta dati potente e facile da usare per insegnanti e amministratori delle principali università e scuole elementari. È anche elencato nella Community Broker Index di HECVAT, il che significa che puoi accedere alle valutazioni HECVAT già completate e risparmiare tempo nella valutazione del rischio.
Cosa può fare Jotform per te?
- Gli insegnanti possono utilizzare Jotform per gestire le proprie classi creare test online, raccogliere i compiti o chiedere ai genitori di firmare le autorizzazioni.
- Gli amministratori possono utilizzare Jotform per gestire attività operative come la creazione di sondaggi per misurare la soddisfazione di studenti o insegnanti o accettazione di pagamenti online per tasse e donazioni degli ex studenti.
Jotform offre quasi 2.000 modelli di moduli didattici che vanno dalle valutazioni degli insegnanti e questionari sul rendimento accademico alle domande di borse di studio. Puoi creare moduli in pochi minuti.
Gli istituti di istruzione superiore possono trarre vantaggio da molte altre funzionalità chiave oltre ai moduli:
- Accessibilità. I moduli di Jotform sono di livello A e livello AA conformi agli standard WCAG 2.1, quindi puoi creare moduli compatibili con la Sezione 508.
- Significabilità. Raccogli le firme elettroniche di studenti, genitori, personale e altre parti interessate utilizzando Jotform Sign. Automatizza il processo di firma per garantire che tutte le parti interessate vedano e firmino il tuo documento nell'ordine corretto.
- Sicurezza. I tuoi dati vengono archiviati in un data center locale con aggiunta di conformità SOC 2. Puoi anche attivare le funzionalità HIPAA se il tuo campus raccoglie informazioni sanitarie sensibili da studenti o docenti.
Assicurati che il tuo campus sia sulla buona strada per il successo con una soluzione conveniente e compatibile con HECVAT: gli istituti di istruzione hanno diritto a uno sconto significativo! Inizia oggi stesso con un modulo di raccolta dati didattici.